多起报案揭开黑灰产犯罪团伙冰山一角

“警察同志,不知道怎么回事,最近两个月我的微博经常会关注陌生帐号、QQ会突然添加陌生好友和群,手机也会莫名其妙收到各种垃圾广告弹窗、短信。”

今年6月下旬,浙江绍兴越城区市民李某、张某、董某先后来到越城区公安分局网警大队报案,称自己的社交帐号异常,信息骚扰频繁,怀疑个人信息被泄露。

无独有偶,就在同一时段,越城区公安分局网警大队也接到了阿里安全提供的线索,称有绍兴用户反馈淘好友有异常添加陌生人的情况,疑似个人信息遭泄漏。

多起报案分别来自个人和企业,却在案情上有着同质性,这一细节引起了警方的高度关注。越城区公安分局网警大队大队长张野平介绍,通过调查发现,8个IP地址于2018年4月17日多次异常访问李某的帐号,而这8个IP地址隶属的IP段,还先后访问了超过5000人的帐户。

在阿里安全归零实验室提供的技术协助下,警方迅速展开了全力侦查,并成功锁定上述IP段,发现其背后是以瑞智华胜为首的三家公司在操控。

警方进一步针对这三家公司的关联、商业模式等展开调查,发现三家公司实际控制人同为邢某,主要成员均系同一伙人,办公地点也一样;其中,瑞智华胜(872382.OC)成立于2013年,2017年12月1日正式挂牌新三板。

固定相关证据后,7月3日在属地警方配合下,越城警方在位于北京海淀区的瑞智华胜公司对涉案人员实施抓捕,当场抓获6名犯罪嫌疑人;公司实际控制人、主要犯罪嫌疑人邢某当时未在公司,闻风潜逃。

而随着调查的不断深入,一个分工明确、手段专业、获利颇丰的数据黑灰产犯罪团伙被连根拔起,一种完全新型的数据盗窃作案手段也在世人面前被揭开。

合法经营赚钱慢 萌生窃取数据歹意

一个犯罪团伙作案,为何要成立三家公司?原来,这是整个团伙的“大老板”刑某为了实现窃取流量盈利的目的而下的一盘大棋:两家公司用来获取运营商流量,而瑞智华胜则负责进行数据加工、处理,通过精准营销、恶意弹窗、加粉、刷量等方式将数据变现。

根据警方所掌握的情况,从2014年开始,两家涉案公司以竞标的方式,先后与覆盖全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。

在经营过程中,这项业务的效益并不好,而提供软件服务过程中可以接触到运营商流量的这一细节,让刑某心生歹意,走上了犯罪道路。

警方透露,为了劫持运营商流量,在明知不合法的情况下,刑某及其犯罪团伙将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在了瑞智华胜境内外的多个服务器上。

所谓cookie,相当于用户帐号的登录凭证,通过cookie不需要再次输入帐号和密码,就可以进入用户帐号,并且能从用户帐号中获取用户的注册信息、搜索记录、开房记录等数据。

“该犯罪团伙正是利用了cookie的这一特性,通过劫持的cookie数据登录了大量用户帐号,从而操纵用户帐户加粉、刷量,并进行恶意弹窗推广等方式非法获利。”办案民警单钟颖介绍,为更好地变现效果,瑞智华胜针对加粉、刷量等不同场景的应用分别开发了软件,犯罪手法极其专业,技术水平较高。

根据警方统计的数据显示,该犯罪团伙窃取的公民数据已超过30亿条;而这一数字,还没算上今年4月这帮人为了毁灭证据而连夜删除的多台服务器上的大量数据。警方初步估算,已被删除的被窃数据量也超过亿条。

<  1  2  3  >